Trust Security：LayerZero存在与Across Protocol相似的漏洞

金色财经报道，跨链互操作性协议 LayerZero 首席执行官 Bryan Pellegrino 在社交媒体致信 Across Protocol 团队表示，“我想通知你们，你们的代币合约存在一个关键问题。 你们错误地暴露了一个原本应作为内部私有函数的功能，该功能是 Open Zeppelin 在其 ERC20 代币实现中编写的，旨在销毁代币，并将其给予了合约所有者——这使得你们可以随时随意从任何钱包中提取代币，任意地将任何账户的余额搞成 0。 此外，你们的 Across Protocol 和 UMA Protocol 合约都有无限铸币的能力，但我已经通知你们这两个问题，而你们似乎并不在意。 要解决这个问题而不需要重新发行代币： 将合约所有权转移到一个新的智能合约，以防止铸币量超过总供应量，也不允许销毁。由于这是一个永久性漏洞，新合约必须是不可变的，并且不应包括任何转移所有权的功能。 如果你们有一个活跃的漏洞悬赏计划，可以将此信息归功于 LayerZero 团队。”

金色财经报道，经济学家最近的一项研究确定了 186 家银行处于风险之中。这些银行面临着与导致硅谷银行倒闭的问题类似的问题。在美联储迅速加息的过程中，经济学家们对美国的个别银行进行了评估。他们评估了资产账簿和市场价值损失。国库券和抵押贷款等资产的价值可能会下降。当新债券提供更高的利率时，就会发生这种情况。他们的发现表明存在潜在问题。如果这些未投保的储户中有一半要从这 186 家美国银行中的任何一家迅速提取资金，即使是投保的储户也可能面临损失。这是由于所有存款人可用的资产不足。 经济学家在他们的论文中表示，我们的计算表明，如果没有政府干预或资本重组，这些银行肯定面临挤兑的潜在风险。

4月22日消息，加密货币钱包 Trust Wallet 发布《WASM 漏洞、事件更新与建议措施》，公告指出，2022 年 11 月，一名安全研究人员通过漏洞赏金计划报告 Trust Wallet 开源库 Wallet Core 中的 WebAssembly（WASM）漏洞。Trust Wallet Browser Extension 在 Wallet Core 中使用 WASM，Browser Extension 在 2022 年 11 月 14 日至 23 日期间生成的新钱包地址包含此漏洞。Trust Wallet 迅速修补了漏洞，所有在这些日期之后创建的地址都是安全的。 不过，Trust Wallet 仍然检测到两个潜在的漏洞，在攻击发生时造成了大约 17 万美元的总损失。对此，Trust Wallet 将补偿因漏洞导致的黑客攻击而造成的符合条件的损失，并为受影响的用户创建了补偿流程。此外，Trust Wallet 敦促受影响的用户尽快转移所有易受攻击地址上剩余的约 88,000 美元余额。 对于只使用 Trust Wallet 移动端、只将钱包地址导入浏览器扩展程序、在 2023 年 11 月 14 日之前或 2022 年 11 月 23 日之后仅使用浏览器扩展程序创建了一个新钱包的用户不受此漏洞影响。如果用户在 TW Browser Extension 收到警告通知，将有可能受到影响。对于在 2022 年 12 月下旬和 2023 年 3 月下旬存在异常资金流动的用户，可能是遭受这两个漏洞利用的少数受害者之一。

金色财经报道，Trust Wallet在X平台发文表示，发现针对iOS用户的iMessage高风险漏洞，建议尽快禁用iMessages，直到Apple修补此漏洞。

金色财经报，美国证券交易委员会 (SEC) 主席 Gary Gensler 认为 Binance 与其失败的竞争对手 FTX 在处理客户资产方面存在相似之处。 并表示，根据 2009 年的现行规定，你的客户资金必须 在]适当的合格保管人之下，那不是你在币安上拥有的，别搞错了。

金色财经报道，跨链通信协议LayerZero被爆存在一个关键漏洞，该漏洞由Blockian发现，用户应用程序可以操纵Oracle和Relayer费用，使它们能够在不产生任何成本的情况下发送消息，该漏洞主要围绕默认LayerZero节点 UltraLightNodeV2.sol的发送函数中的费用计算过程。UA可以将其Oracle和Relaye 配置为返回零费用的定制恶意版本，继而完全绕过费用计算过程。据悉，UA启动消息发送过程之后，可以将其Oracle和Relayer配置设置为自定义的免费版本，因此消息的费用计算为零，这种操纵的结果是用户代理能够在不产生任何费用的情况下发送消息。据悉Layer Zero团队目前已经通过让中继器在阻止消息之前检查交易中哪个UA调用了setConfig，快速修复了该错误。